SecBoard
Zurück zur Übersicht

OAuth Client ID Spoofing Lets Attackers Validate Stolen Microsoft Entra Credentials

The Hacker News·
Originalartikel lesen bei The Hacker News

Angreifer nutzen eine neue Technik namens OAuth Client ID Spoofing, um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren und Benutzerkonten zu identifizieren. Dabei umgehen sie herkömmliche Sicherheitswarnungen, da keine erfolgreichen Anmeldeversuche registriert werden. Unternehmen sollten ihre Überwachung anpassen, um diese Art von verdächtiger Aktivität frühzeitig zu erkennen.

Kurzfassung

Angreifer nutzen eine neue Technik namens OAuth Client ID Spoofing, um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren. Diese Methode ermöglicht es, Benutzerkonten zu identifizieren, ohne erfolgreiche Anmeldeereignisse auszulösen, wodurch herkömmliche Sicherheitswarnungen umgangen werden. Unternehmen müssen ihre Überwachung anpassen, um diese Art von verdächtiger Aktivität zu erkennen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen, die Microsoft Entra ID nutzen.

Warum relevant

Diese Technik erlaubt es Angreifern, die Gültigkeit gestohlener Zugangsdaten zu überprüfen und Benutzerkonten zu identifizieren, ohne dass dies in Standard-Sicherheitswarnungen sichtbar wird. Dies erhöht das Risiko erfolgreicher nachfolgender Angriffe, da die Vorbereitung unentdeckt bleibt.

Realistisches Worst Case

Angreifer können unbemerkt eine Liste gültiger Benutzerkonten und zugehöriger gestohlener Zugangsdaten erstellen, die später für gezielte Angriffe wie Phishing oder Brute-Force-Angriffe gegen andere Dienste verwendet werden können, was zu einem vollständigen Kontokompromiss führen könnte.

Handlungsempfehlung

Implementieren Sie eine robuste Überwachung für ungewöhnliche Authentifizierungsversuche und überprüfen Sie die Entra ID-Anmeldeprotokolle auf verdächtige Muster, die auf OAuth Client ID Spoofing hindeuten könnten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Microsoft Entra ID-Anmeldeprotokolle auf Anmeldeversuche mit ungewöhnlichen Client-IDs oder Anmeldefehlern, die nicht zu erwarteten Anwendungen gehören.
  • Stellen Sie sicher, dass Ihre SIEM-Lösung oder Ihr Überwachungssystem Warnungen für Anmeldeversuche generiert, die zwar fehlschlagen, aber von ungewöhnlichen oder unbekannten Client-IDs stammen.
  • Validieren Sie, ob Ihre aktuellen Überwachungsregeln Anmeldeversuche erkennen, die keine erfolgreichen Anmeldungen sind, aber auf eine Validierung von Zugangsdaten hindeuten (z.B. durch wiederholte fehlgeschlagene Versuche von derselben Quelle mit unterschiedlichen Benutzernamen).
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Credential AccessT1110 Brute ForceLowAngreifer nutzen eine neue Technik namens OAuth Client ID Spoofing, um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren und Benutzerkonten zu identifizieren.
DiscoveryT1087 Account DiscoveryHighAngreifer nutzen ... um gestohlene Microsoft Entra ID-Zugangsdaten zu validieren und Benutzerkonten zu identifizieren.
Defense EvasionT1562 Impair DefensesHighDabei umgehen sie herkömmliche Sicherheitswarnungen, da keine erfolgreichen Anmeldeversuche registriert werden.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Client-IDs oder Muster von Client-IDs als verdächtig gelten könnten.
  • Der genaue technische Ablauf des OAuth Client ID Spoofing wird nicht detailliert beschrieben.
  • Es werden keine spezifischen Tools oder Exploits genannt, die für diese Technik verwendet werden.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
  • Können wir Reconnaissance detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance